projekt_2619_Projektovy_zamer_detailny

Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy.

121

122

\\

123

124

V predkladanom projekte sa realizuje návrh a postupná implementácia komplexného systému manažérstva kybernetickej a informačnej bezpečnosti (ISMS: Information Security Management System), ktorý formálne zakotví princípy kybernetickej a informačnej bezpečnosti do organizačnej štruktúry UNIZA. Riadenie kybernetickej a informačnej bezpečnosti bude založené na vypracovanej, aktualizovanej a implementovanej bezpečnostnej dokumentácii zahŕňajúcej bezpečnostnú stratégiu, politiky, smernice, postupy, bezpečnostné projekty a ďalšie interné riadiace dokumenty.

125

126

V rámci jednotlivých procesov riadenia rizík budú identifikované všetky primárne aktíva (procesy, informácie) ako aj podporné aktíva (hardvér, softvér, ľudské zdroje, lokality, tretie strany, siete, informačné systémy), pričom bude implementovaný systém pre centrálnu inventarizáciu týchto aktív a súvisiacich konfiguračných požiadaviek. Bude aktualizovaná dokumentácia počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov. Bude spracovaná analýza funkčných dopadov identifikujúca rôzne kategórie procesov organizácie, na základe ich kritickosti, vzájomnej závislosti a potenciálnych dôsledkov v prípade vzniku incidentu. Bude navrhnutý a implementovaný systém riadenia rizík pozostávajúci z podprocesu posudzovania rizík a podprocesu ošetrenia rizík. Samostatnou kategóriou procesu posudzovania rizík bude posúdenie rizík tretích strán a celého dodávateľského reťazca vo vzťahu k poskytovaným službám a produktom. Budú identifikovaný vlastníci rizík, zodpovední za implementáciu organizačných a technických bezpečnostných opatrení, určených na zníženie rizika na akceptovateľnú úroveň.

127

128

Na riešenie kybernetických bezpečnostných incidentov v rámci UNIZA budú vypracované a pravidelne aktualizované štandardy a postupy riešenia kybernetických bezpečnostných incidentov. Procesy budú realizované implementáciou nástrojov na detekciu, zber a nepretržité ohodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Po úspešnom otestovaní a vyhodnotení budú spracované technické špecifikácie s dopadom na budúcu implementáciu a integráciu systémov do existujúcej infraštruktúry univerzity. Budú definované a schválené scenáre pre potenciálne vzniknuté kybernetické incidenty a vo vzťahu k tomu budú definované stratégie kontinuity činnosti a jednotlivé plány kontinuity činnosti a plány obnovy prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na činnosť UNIZA. Taktiež budú definované plány na zálohovanie informačných systémov na základe realizovanej analýzy dopadov a zistených časov RPO.

129

130

Vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA, bude celý projekt realizovaný tímom interných zamestnancov UNIZA. V rámci organizačnej štruktúry UNIZA bude zriadený Bezpečnostný výbor, ktorý bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti. V rámci projektu budú vytvorené esenciálne role pre riadenie kybernetickej a informačnej bezpečnosti, ako je manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.

\\

**Ciele projektu** sú zadefinované v súlade s Národnou koncepciou informatizácie verejnej správy:

135

136

* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,

137

* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,

138

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,

139

* zabezpečenie kontinuity prevádzky.

140

141

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

**Cieľová skupina:**

* zamestnanci UNIZA,

* študenti UNIZA,

* uchádzači o štúdium na UNIZA,

150

* externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),

151

* právnické osoby využívajúce systémy UNIZA a dodávatelia.

\\

Realizáciou projektu bude dosiahnuté naplnenie hlavného cieľa: zvýšenie kybernetickej a informačnej bezpečnosti, zabezpečenia ochrany údajov a zvýšenie ochrany voči bezpečnostným incidentom v prostredí UNIZA.

\\

Projekt je v súlade so stratégiou Programu Slovensko 2021-2027 v nasledovných oblastiach:

160

161

* súlad projektu so špecifickým cieľom: RSO1.2 – 1.a Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti (opatrenie 1.2.1),

162

* súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

\\

**Merateľné ukazovatele:**

167

168

//PO095 / PSKPSOI12 – Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov//

169

170

//a procesov// - cieľová hodnota: 1

171

172

//PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov//

173

174

//a procesov //– cieľová hodnota: 800

\\

**Miesto realizácie projektu:** Žilinská univerzita v Žiline

\\

**Predpokladaný rozpočet projektu (oprávnené výdavky):** 449 976,30 €.

183

184

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.2Motiváciaarozsahprojektu"/}}2.2 Motivácia a rozsah projektu ==

185

186

Hlavnou motiváciou projektu je výrazné zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KIB), aby UNIZA bola lepšie pripravená čeliť interným a externým hrozbám v oblasti KIB. Po ukončení projektu bude UNIZA disponovať vyššími schopnosťami detekcie škodlivých aktivít, bude k dispozícii vybavenie na lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát.

\\

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (NKIVS):

191

192

* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,

193

* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,

194

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,

195

* zabezpečenie kontinuity prevádzky.

196

197

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

Navrhovaný projekt v rámci výzvy „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy" súvisí najmä s naplnením povinností:

202

203

* definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS").

204

* opatreniami definovanými v § 20 zákona o KB,

205

* zvýšenia úrovne a schopnosti zabezpečovať a riadiť KIB vzhľadom na neustále sa zvyšujúce hrozby a nedostatočný stav úrovne aktuálne nastavených procesov riadenia KIB,

206

* zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou KIB.

\\

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.**

**~ **

Hlavná aktivita bude rozdelená na štyri podaktivity:

215

216

**//Podaktivita 1 Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti//**

Výstupy aktivity:

* Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.

221

* Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

222

* Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.

223

* Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti. Zriadený Bezpečnostný výbor, ktorý sa bude riadiť prijatým štatútom a bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti

224

* Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.

225

* Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.

226

* Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.

227

* Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.

228

* Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.

\\

**//Podaktivita 2 Riadenie rizík//**

Výstupy aktivity:

* Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek

237

* Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

238

* Klasifikácia informácií a kategorizácia sietí a informačných systémov.

239

* Metodika kontinuity činnosti.

240

* Analýza funkčných dopadov.

241

* Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.

242

* Analýza rizík kybernetickej bezpečnosti.

\\

**Podaktivita 3 Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky**

Výstupy aktivity:

* Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).

251

* Plány pre BCM a DRP.

252

* Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.

253

* Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.

254

* Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.

255

* Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.

\\

**Podaktivita 4 Riadenie prevádzky kybernetickej a informačnej bezpečnosti**

Výstupy aktivity:

* Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.

264

* Zásady riadenia prístupov osôb k sieti a informačnému systému.

265

* Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

266

* Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti

267

* Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.

268

* Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.

269

* Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

270

* Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.

271

* Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).

272

* Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

273

* Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.

\\

Okrem hlavnej aktivity budú v rámci projektu realizované aj podporné aktivity, ktoré budú kryté z nepriamych výdavkov:

278

279

* Projektové riadenie a administratívna podpora hlavných aktivít projektu,

280

* Publicita a informovanosť v zmysle manuálu.

**Biznis procesy:**

V rámci realizácie projektu budú zavedené nasledovné biznis procesy, ktoré budú podporené príslušnými riešeniami:

285

286

* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,

287

* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,

288

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,

289

* zabezpečenie kontinuity prevádzky.

\\

Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať väčšiny biznis procesov vykonávaných na UNIZA, ktoré sú realizované prostredníctvom informačných systémov UNIZA. Jedná sa najmä o:

294

295

* AIVS - Akademický informačný a vzdelávací systém - Prijímacie konanie, Priebeh štúdia, Rozvrh, Štipendiá, Platby za štúdium, Záver štúdia, Ubytovanie, FIT - evidencia prístupov študentov do fit centier, Automatizovaný platobný styk, e-learning (MOODLE).

296

* IS pre projekty UNIZA,

297

* Hotelové ubytovanie,

298

* Uniza Network Management System,

299

* ZuFlow podporné aplikácie,

300

* Vnútorný bezhotovostný úhradový systém eMANY,

301

* Webová stránka UNIVERZITY,

302

* INTRANET UNIVERZITY,

303

* Externé IS - SOFIA- podsystém pre spracovanie ekonomiky, personalistiky a miezd, Dochádzkový a prístupový systém WATT, DAWINCI - Knižničný systém, EZAP – evidencia záverečných prác, KREDIT – Stravovací systém, Čipové karty, Registratúra.

\\

Realizácia projektu bude mať vplyv na nasledovné skupiny subjektov:

* zamestnanci UNIZA,

* študenti UNIZA,

* uchádzači o štúdium na UNIZA,

312

* externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),

313

* právnické osoby využívajúce systémy UNIZA a dodávatelia.

\\

**Motivácia a obmedzenia pre dosiahnutie cieľov projektu**

318

319

Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS. Vďaka realizácii týchto opatrení budú IS UNIZA chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku IS UNIZA nasledovný dopad:

320

321

(% class="wrapped" %)

322

(% class="" %)|(((

323

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

(% class="" %)|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z. - Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

)))|(((

I.

)))|(((

Počítačovú sieť UNIZA a aplikácie prevádzkované na UNIZA využívajú v prevažnej miere študenti a zamestnanci univerzity. V roku 2023 bolo na UNIZA zamestnaných 1479 zamestnancov vo fyzických osobách a na univerzite študovalo 7418 študentov v dennej a externej forme. Štúdium úspešne ukončilo 1043 absolventov, ktorým z dôvodu zachovania komunikačného kanálu ostávajú aktívne účty na UNIZA po dobu ďalších 24 mesiacov. Do akademického informačného systému cez modul Prijímacie konanie v danom roku pribudlo 4269 uchádzačov o štúdium. Okrem uvedených počtov sú používateľmi počítačových sietí UNIZA a aplikácií UNIZA absolventi zahraniční študenti, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 250 ročne), zahraniční pedagógovia, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 150 ročne), hostia v ubytovacích zariadeniach, riešitelia spoločných výskumných a nevýskumných projektov a ďalší používatelia, ktorí pracujú v priestoroch UNIZA (prenájmy, spoločné pracoviská). V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov.

335

)))

336

(% class="" %)|(((

337

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z. - Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

338

a/alebo § 24 ods. 2 písm. c) zákona 69/2018 Z.z. - Geografické rozšírenie kybernetického bezpečnostného incidentu

)))|(((

II.

)))|(((

V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov. Čas do odstránenia bezpečnostného incidentu by mohol byť v závislosti od jeho závažnosti v dňoch až týždňoch.

343

)))

344

(% class="" %)|(((

345

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z. - Stupeň narušenia fungovania základnej služby.

)))|(((

II.

)))|(((

Incident by spôsobil úplnú nedostupnosť druhu služby, pre ktorú je možné zabezpečiť náhradné riešenie.

350

)))

351

(% class="" %)|(((

352

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z. - Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu

)))|(((

I.

)))|(((

Boli by narušené základné funkcie univerzity - ohrozený by bol základný chod univerzity z hľadiska finančných operácií vo vnútri školy aj vo vzťahu k dodávateľom, výučba a procesy súvisiace s ňou - tvorba rozvrhov, prijímacie skúšky, konanie štátnych skúšok, ohrozené by boli výskumné úlohy a citlivé údaje, ktoré sú uložené na univerzitných serveroch. Vznikli by boli veľmi veľké škody až vo výške viac ako 1 000 000 €, v niektorých oblastiach dokonca až fatálne. Nefunkčnosť systémov má priamy vplyv na hospodárske alebo spoločenské činnosti.

)))

\\

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS.

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.3Zainteresovanéstrany/Stakeholderi"/}}2.3 Zainteresované strany/Stakeholderi ==

\\

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Zamestnanci UNIZA

)))|(((

UNIZA_zam

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

395

)))|(((

396

isvs_14246 - ZuFlow podporné aplikácie

397

398

isvs_14245 - Uniza Network Management System

399

400

isvs_14244 - IS pre projekty UNIZA

401

402

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

403

404

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

2.

)))|(((

Študenti UNIZA

)))|(((

UNIZA_stud

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

416

)))|(((

417

isvs_14246 - ZuFlow podporné aplikácie

418

419

isvs_14245 - Uniza Network Management System

420

421

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

422

423

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

3.

)))|(((

Uchádzači UNIZA

)))|(((

UNIZA_uch

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

435

)))|(((

436

isvs_14246 - ZuFlow podporné aplikácie

437

438

isvs_14245 - Uniza Network Management System

439

440

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

441

442

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

4.

)))|(((

Externí spolupracovníci UNIZA

)))|(((

UNIZA_ext

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

454

)))|(((

455

isvs_14246 - ZuFlow podporné aplikácie

456

457

isvs_14245 - Uniza Network Management System

458

459

isvs_14244 - IS pre projekty UNIZA

460

461

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

462

463

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

5.

)))|(((

Dodávatelia a spolupracujúce organizácie

)))|(((

Ext.

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

475

)))|(((

476

isvs_14246 - ZuFlow podporné aplikácie

477

478

isvs_14245 - Uniza Network Management System

479

480

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

6.

)))|(((

UNIZA – správcovia IS a siete

)))|(((

UNIZA_spr

)))|(((

Vlastník procesu, vlastník dát

492

)))|(((

493

isvs_14246 - ZuFlow podporné aplikácie

494

495

isvs_14245 - Uniza Network Management System

496

497

isvs_14244 - IS pre projekty UNIZA

498

499

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

500

501

isvs_14242 - Webové sídlo UNIZA

\\

)))

\\

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.4Cieleprojektu"/}}2.4 Ciele projektu ==

511

512

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy:

513

514

* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,

515

* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,

516

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,

517

* zabezpečenie kontinuity prevádzky.

518

519

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

\\

\\

Názov cieľa

)))|(((

Názov strategického cieľa

534

)))|(((

535

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

1

)))|(((

Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti

541

)))|(((

542

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

543

)))|(((

544

... • Vytvorenie a schválenie Stratégie kybernetickej bezpečnosti a Bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.

545

546

• Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

547

548

• Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.

549

550

• Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.

551

552

• Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.

553

554

• Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.

555

556

• Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.

557

558

• Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.

559

560

• Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.

)))

(% class="" %)|(((

2.

)))|(((

Riadenie rizík

)))|(((

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

568

)))|(((

569

• Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek.

570

571

• Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

572

573

• Klasifikácia informácií a kategorizácia sietí a informačných systémov.

574

575

• Metodika kontinuity činnosti.

576

577

• Analýza funkčných dopadov.

578

579

• Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.

580

581

• Analýza rizík kybernetickej bezpečnosti.

)))

(% class="" %)|(((

3.

)))|(((

Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky

587

)))|(((

588

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

589

)))|(((

590

• Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).

591

592

• Plány pre BCM a DRP.

593

594

• Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.

595

596

• Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.

597

598

• Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.

599

600

• Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.

)))

(% class="" %)|(((

4.

)))|(((

Riadenie prevádzky kybernetickej a informačnej bezpečnosti

606

)))|(((

607

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

608

)))|(((

609

• Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.

610

611

• Zásady riadenia prístupov osôb k sieti a informačnému systému.

612

613

• Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

614

615

• Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti.

616

617

• Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.

618

619

• Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.

620

621

• Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

622

623

• Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.

624

625

• Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).

626

627

• Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

628

629

• Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.

)))

\\

\\

**~ **

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.5Merateľnéukazovatele(KPI)"/}}2.5 Merateľné ukazovatele (KPI) ==

\\

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

\\

\\

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

(% class="" %)|(((

1

)))|(((

PO095 / PSKPSOI12

\\

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

681

)))|(((

682

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej

683

684

bezpečnosti verejnej správy

)))|(((

Verejné inštitúcie

)))|(((

0

)))|(((

1

)))|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

693

694

Čas plnenia merateľného ukazovateľa projektu: Fyzické ukončenie realizácie hlavných aktivít projektu

)))|(((

...

)))

(% class="" %)|(((

2

)))|(((

PR017 / PSKPRCR11

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

704

)))|(((

705

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

Používatelia / rok

)))|(((

0

)))|(((

800

)))|(((

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom databázou používateľov v oblasti KIB.

714

715

V prípade univerzity ide o počet používateľov, ktorí priamo využívajú IS a priamo sa podieľajú na zabezpečovaní základnej služby.

716

717

Čas plnenia merateľného ukazovateľa projektu: v rámci udržateľnosti projektu

)))|(((

...

)))

\\

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.6Rizikáazávislosti"/}}2.6 Riziká a závislosti ==

727

728

Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí.

\\

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}2.7 Stanovenie alternatív v biznisovej vrstve architektúry ==

735

736

V rámci analýzy možností v biznis vrstve boli stanovené 4 alternatívy, vzhľadom na aktuálny stav zabezpečenia KIB v podmienkach UNIZA:

737

738

* //Alternatíva 1: Zachovanie existujúceho stavu KIB// – sú splnené len niektoré požiadavky na KIB, existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.

739

* //Alternatíva 2: Realizácia vybraných opatrení na zvýšenie úrovne KIB// – zvýšil by sa súlad s legislatívnymi požiadavkami na zabezpečenie KIB, stále existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.

740

* //Alternatíva 3: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie).

741

* //Alternatíva 4: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov.

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.8Multikriteriálnaanalýza"/}}2.8 Multikriteriálna analýza ==

746

747

Stanovenie kritérií pre multikriteriálnu analýzu:

748

749

* //Kritérium 1 (KO)~:// Nutnosť zosúladiť úroveň KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS na maximálnu možnú dosiahnuteľnú úroveň. Táto požiadavka sa dotýka všetkých stakeholderov.

750

* //Kritérium 2~:// Rýchlosť implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.

751

* //Kritérium 3~:// Spoľahlivosť a kvalita implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.

752

* //Kritérium 4~:// Dlhodobá udržateľnosť riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.

\\

(% class="wrapped" %)

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alternatíva 1

)))|(((

Alternatíva 2

)))|(((

Alternatíva 3

)))|(((

Alternatíva 4

)))

(% class="" %)|(((

Kritérium 1 (KO)

)))|(((

Nie

)))|(((

Nie

)))|(((

Áno

)))|(((

Áno

)))

(% class="" %)|(((

Kritérium 2

)))|(((

Nie

)))|(((

Áno

)))|(((

Áno

)))|(((

Áno

)))

(% class="" %)|(((

Kritérium 3

)))|(((

Nie

)))|(((

Áno

)))|(((

Áno

)))|(((

Áno

)))

(% class="" %)|(((

Kritérium 4

)))|(((

Nie

)))|(((

Nie

)))|(((

Áno

)))|(((

Nie

)))

\\

Z hľadiska identifikovaných kritérií Alternatíva 1 nespĺňa žiadne z nich, nakoľko by bol zachovaný aktuálny stav, ktorý nie je dlhodobo udržateľný. V prípade alternatívy 2 ako čiastkového riešenia by nedošlo k naplneniu kritéria 1, ktoré je KO kritériom a takáto situácia nie je rovnako dlhodobo udržateľná. V prípade alternatívy 3 by boli realizované všetky procesy v oblasti KIB internými kapacitami a riešenie by bolo dlhodobo udržateľné, vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA. Alternatíva 4 pokrýva prvé 3 kritériá, avšak dlhodobá udržateľnosť takéhoto riešenia nie je najmä z finančného hľadiska otázna.

816

817

Na základe zhodnotenia je ako najviac prijateľná alternatíva 3, ktorá spĺňa všetky stanovené kritériá.

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}2.9 Stanovenie alternatív v aplikačnej vrstve architektúry ==

822

823

Definícia alternatív v aplikačnej vrstve vychádza z analýzy alternatív na biznis vrstve, pričom HW a SW technológie musia zodpovedať požiadavkám definovaným v projekte a vychádzajú z požiadaviek zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z. z.

824

825

Aplikačná vrstva v projekte uvažuje dve možné alternatívy:

826

827

* //Alternatíva A: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie) – zodpovedá alternatíve 3 biznis vrstvy.

828

* //Alternatíva B: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov – zodpovedá alternatíve 4 biznis vrstvy.

829

830

Vzhľadom na výsledok vykonanej multikriteriálnej analýzy biznis architektúry bude zvolená alternatíva A.

// //

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}2.10 Stanovenie alternatív v technologickej vrstve architektúry ==

835

836

Vzhľadom na to, že v rámci projektu sú definované požiadavky na HW a SW technológie všeobecne tak, aby bolo HW a SW technológiu spĺňajúcu požiadavky koncových používateľov a stakeholderov možné použiť na realizáciu projektu, nie sú z hľadiska možného použitia technológií definované alternatívy. Bližšia analýza možných technológií bude vykonaná počas projektu. Technologická vrstva architektúry bude bližšie definovaná prepojením IS na úrovni univerzity.

\\

= {{id name="projekt_2619_Projektovy_zamer_detailny-3.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}3. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

\\

Výstupy projektu sú nasledovné:

845

846

* Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.

847

* Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

848

* Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.

849

* Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.

850

* Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.

851

* Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.

852

* Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.

853

* Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.

854

* Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.

855

* Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek

856

* Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

857

* Klasifikácia informácií a kategorizácia sietí a informačných systémov.

858

* Metodika kontinuity činnosti.

859

* Analýza funkčných dopadov.

860

* Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.

861

* Analýza rizík kybernetickej bezpečnosti.

862

* Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).

863

* Plány pre BCM a DRP.

864

* Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.

865

* Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.

866

* Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.

867

* Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.

868

* Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.

869

* Zásady riadenia prístupov osôb k sieti a informačnému systému.

870

* Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

871

* Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti

872

* Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.

873

* Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.

874

* Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

875

* Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.

876

* Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).

877

* Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

878

* Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.

\\

Výstupy projektu zabezpečujú nasledovné požiadavky definované výzvou:

883

884

1. a) Organizácia kybernetickej a informačnej bezpečnosti

885

1. b) Riadenie rizík

886

1. c) Personálna bezpečnosť

887

1. d) Riadenie prístupov

888

1. e) Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

889

1. f) Bezpečnosť pri prevádzke informačných systémov a sietí

890

1. g) Hodnotenie zraniteľností a bezpečnostné aktualizácie

891

1. h) Ochrana proti škodlivému kódu

892

1. i) Sieťová a komunikačná bezpečnosť

893

1. j) Akvizícia, vývoj a údržba informačných technológií verejnej správy

894

1. k) Zaznamenávanie udalostí a monitorovanie

895

1. l) Fyzická bezpečnosť a bezpečnosť prostredia

896

1. m) Riešenie kybernetických bezpečnostných incidentov

897

1. n) Kryptografické opatrenia

898

1. o) Kontinuita prevádzky

899

1. p) Audit a kontrolné činnosti

900

901

= {{id name="projekt_2619_Projektovy_zamer_detailny-4.NÁHĽADARCHITEKTÚRY"/}}4. NÁHĽAD ARCHITEKTÚRY =

902

903

Architektúra navrhovaného projektu je rámcová a je nastavená tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú riešiť ochranu v rámci KIB. Hlavným cieľom je ochrana IS na UNIZA, aby bola zabezpečená prevádzka všetkých univerzitou poskytovaných služieb.

904

905

Na základe potrieb popísaných vyššie sa jedná hlavne o nasledovné komponenty:

906

907

* nástroje na zálohovanie prevádzkových dát,

908

* nástroje pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení,

909

* dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností.,

910

* špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané,

911

* konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov,

912

* implementovaný systém na inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,

913

* dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

\\

= {{id name="projekt_2619_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5. ROZPOČET A PRÍNOSY =

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-5.1Sumarizácianákladovaprínosov"/}}5.1 Sumarizácia nákladov a prínosov ==

\\

(% class="wrapped" %)

(% class="" %)|(((

Náklady

)))|(((

Podporné IS

)))|(((

Dokumentácia KIB

)))|(((

Podporné činnosti

)))

(% class="" %)|(((

**Všeobecný materiál**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**IT – CAPEX**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Mzdy zamestnancov

)))|(((

//150 000 €//

)))|(((

//267 500 €//

)))|(((

//32 500 €//

)))

(% class="" %)|(((

SW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

//10 000 €//

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

\\

V rámci projektu nie je plánované dodanie žiadnych externých služieb ani tovarov. Vzhľadom na významnú vzdelávaciu, vedeckú a expertíznu činnosť zapojených riešiteľov budú všetky podporné IS a dokumentácia KIB a záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti riešená internými zamestnancami kvalifikovanými v odbore KIB.

\\

**Prínos a návratnosť**

1024

1025

Výpočet prínosov a návratnosti projektu je v prípade projektov KIB náročný a je možné ho vyčísliť na základe možných škôd, ktoré by mohli vzniknúť v prípade, ak by neboli opatrenia KIB realizované. Boli identifikované nasledovné potenciálne škody:

1026

1027

* Finančné riziko – sú to možné dôsledky v prípade KIB incidentu. Jedná sa o možné sankcie vyplývajúce z platnej legislatívy, nákladov spojených s riešením následkov KIB incidentov, prípadne súdnych sporov v prípade možného úniku osobných údajov.

1028

* Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností univerzity, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS alebo vyhlášky 362 /2018 Z. z. či reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.

1029

1030

V prípade tohto projektu bolo vyčíslenie prínosov realizované na základe zákona č. 69/2018 Z. z., kde v §31 ods. 2, písm. c je stanovená pokuta do 1 percenta obratu, maximálne do výšky 300 000 €. Túto hodnotu je avšak možné považovať len za minimálny prínos, pretože v prípade nerealizovania implementácie opatrení KIB hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov, čím nedosiahnu synergický efekt riešenia incidentov KIB.

\\

= {{id name="projekt_2619_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

\\

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

03/2024

)))|(((

09/2024

)))|(((

\\

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

10/2024

)))|(((

08/2026

)))|(((

\\

)))

(% class="" %)|(((

2a

)))|(((

Analýza, dizajn a návrh riešení

)))|(((

10/2024

)))|(((

04/2025

)))|(((

\\

)))

(% class="" %)|(((

2b

)))|(((

Implementácia a testovanie

)))|(((

05/2025

)))|(((

03/2026

)))|(((

\\

)))

(% class="" %)|(((

2c

)))|(((

Nasadenie

)))|(((

04/2026

)))|(((

07/2026

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

08/2026

)))|(((

09/2026

)))|(((

\\

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky

)))|(((

10/2026

)))|(((

09/2031

)))|(((

\\

)))

\\

**Projekt bude realizovaný metódou Agile:**

**// //**

\\

\\

= {{id name="projekt_2619_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7. PROJEKTOVÝ TÍM =

1143

1144

**Riadiaci výbor projektu**

1145

1146

Pre účely realizácie projektu sa zriaďuje Riadiaci výbor projektu (RVP), v minimálne nasledovnom zložení:

1147

1148

* Predseda RVP a projektový manažér – doc. Ing. Michal Koháni, PhD.

1149

* Biznis vlastník – Ing. Pavol Podhora, PhD.

1150

* Zástupca prevádzky – Ing. Róbert Orenič

1151

* Iný člen RVP s hlasovacím právom - prof. Ing. Pavel Segeč, PhD.

1152

* Iný člen RVP s hlasovacím právom - prof. Ing. Tomáš Loveček, PhD.

1153

1154

Vzhľadom na to, že v rámci projektu je predpokladaná implementácia vlastných riešení, ktoré budú navrhované a vyvíjané projektovým tímom, nie je súčasťou projektu žiadny dodávateľ. Z tohto dôvodu nie je súčasťou riadiaceho výboru projektu zástupca dodávateľa.

\\

**Projektový tím riešiteľa**

1159

1160

* Projektový manažér – doc. Ing. Michal Koháni, PhD.

1161

* Biznis vlastník – Ing. Pavol Podhora, PhD.

1162

* Manažér IT prevádzky– Ing. Róbert Orenič

1163

* IT architekt – Ing. Ľuboš Kojdjak, Ing. Michal Hvizdák, Ing. Jana Hudecová, PhD.

1164

* Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ: prof. Ing. Pavel Segeč, PhD.

1165

* Iná rola – analytik kybernetickej bezpečnosti: Ing. Jana Uramová, PhD., doc. Ing. Marek Roch, PhD., doc. Ing. Rastislav Pirník, PhD., doc. Ing. Slavomír Matuška, PhD.

1166

* IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov – Ing. Marek Moravčík, PhD., Ing. Martin Kontšek, PhD.

1167

* Biznis analytik – prof. Ing. Milan Kubina, PhD., doc. Ing. Gabriel Koman, PhD.

1168

* UX dizajnér – prof. Ing. Radovan Madleňák, PhD.

1169

* Iná rola - špecialista kybernetickej bezpečnosti - prof. Ing. Tomáš Loveček, PhD., doc. Ing. Katarína Kampová, PhD., Ing. Matúš Madleňák, Ing. Marián Magdolén, PhD., Bc. Katarína Križalkovič, JUDr. Mária Tomková, PhD.

1170

* Manažér kybernetickej bezpečnosti – rola bude obsadená v priebehu projektu internými kapacitami

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-7.1PRACOVNÉNÁPLNE"/}}7.1 PRACOVNÉ NÁPLNE ==

1175

1176

Popis činností projektových rolí:

1177

1178

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**Projektový manažér**

1183

)))

1184

(% class="" %)|(((

1185

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.,

1190

1191

· zodpovedá za prípravu, inicializáciu a realizáciu projektu, identifikuje kritické miesta projektu a navrhovanie opatrenia na ich elimináciu,·

1192

1193

· zodpovedá za plánovanie, efektívne riadenie, motivovanie projektového tímu,

1194

1195

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu,

1196

1197

· zabezpečuje vypracovanie manažérskej a inej špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z.z.,

1198

1199

· koordinuje činnosť RVP, pripravuje prezentácie stavu projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z. na rokovanie RVP

1200

1201

· zabezpečuje realizáciu projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.,

1202

1203

· zabezpečuje vytvorenie a aktualizáciu BC/CBA,

1204

1205

· zabezpečuje a koordinuje efektívne využívanie ľudských a finančných zdrojov v projekte,

1206

1207

· koordinuje postup práce v projekte a dodržiavanie stanovených míľnikov,

1208

1209

· zodpovedá za riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien,

1210

1211

· má na starosti riadenie implementačných a prevádzkových aktivít v rámci projektu,

1212

1213

· v spoluprácu s projektovým oddelením zabezpečuje formálnu administráciu projektu, správu a archiváciu projektovej dokumentácie

1214

1215

· zodpovedá za dodržiavanie metodík projektového riadenia.

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**Biznis vlastník**

)))

(% class="" %)|(((

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za celkový priebeh projektu, jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi,

1232

1233

· realizuje dohľad nad súladom výstupov projektu a plánu,

1234

1235

· schvaľuje biznis požiadavky, nesie zodpovednosť za výsledné riešenie, prínos a má spoluzodpovednosť za napĺňanie merateľných ukazovateľov,

1236

1237

· definuje na užívateľsky orientované položky a ich zaradenie na spracovanie a určenie priority,

1238

1239

· zodpovedná za funkčné a technické požiadavky, obsaha a prínosy projektu, rieši riziká, vyjasňuje otázky tímu, priebežne akceptuje už dokončené požiadavky,

1240

1241

· spolupracuje s projektovým manažérom, UX dizajnérom, IT architektmi, a ďalšími členmi projektového tímu,

1242

1243

· dohliada na efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1244

1245

· dohliada na vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch,

1246

1247

· poskytuje vyjadrenia k požiadavkám na úpravy a zmeny a ich opodstatnenosti,

1248

1249

· napomáha identifikovať príležitosti a riziká prevádzkových alebo podporných procesov,

1250

1251

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Sieťová a komunikačná bezpečnosť, Kryptografické opatrenia, Ochrana proti škodlivému kódu, Zaznamenávanie udalostí a monitorovanie

1252

1253

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1254

1255

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**Manažér IT prevádzky**

1265

)))

1266

(% class="" %)|(((

1267

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zabezpečuje plánovanie činností, úloh v projekte,

1272

1273

· zabezpečuje spoľahlivú prevádzky IS (technický servis, upgradovanie SW/HW, zálohovanie, testovanie) a podpory pre jej užívateľov (školenia, technická asistencia)

1274

1275

· zabezpečuje starostlivosť o rozvoj a modernizáciu IS v rámci projektu,

1276

1277

· riadi implementáciu informačných technológií a IS v projekte,

1278

1279

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Personálna bezpečnosť, Ochrana proti škodlivému kódu, Akvizícia, vývoj a údržba informačných technológií verejnej správy, Kryptografické opatrenia

1280

1281

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1282

1283

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**IT architekt**

)))

(% class="" %)|(((

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· navrhuje architektúru IT riešení s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,

1300

1301

· pri návrhu posudzuje vhodnosť navrhnutých riešení s ohľadom na požiadavky projektu,

1302

1303

· zodpovedá za technický návrh a realizáciu riešenia,

1304

1305

· zodpovedá za tvorbu a aktualizáciu technickej IT dokumentácie, ·

1306

1307

· podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),

1308

1309

· podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,

1310

1311

· implementuje navrhnutú IT architektúru do IS,

1312

1313

· podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,

1314

1315

· dbá na dodržiavanie integračných štandardov,

1316

1317

· vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,

1318

1319

· vykonáva výkonnostné a integračné testy a navrhuje prípadné opravné opatrenia,

1320

1321

· zabezpečuje nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie opravných opatrení,

1322

1323

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Bezpečnosť pri prevádzke informačných systémov a sietí, Sieťová a komunikačná bezpečnosť, Akvizícia, vývoj a údržba informačných technológií verejnej správy

1324

1325

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1326

1327

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ**

1337

)))

1338

(% class="" %)|(((

1339

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· navrhuje architektúru IT riešení z pohľadu kybernetickej bezpečnosti, s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,

1344

1345

· pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu kybernetickej bezpečnosti~,~,

1346

1347

· zodpovedá za technický návrh a realizáciu riešenia z pohľadu kybernetickej bezpečnosti~,~,

1348

1349

· podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie, ·

1350

1351

· podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept) z pohľadu kybernetickej bezpečnosti~,~,

1352

1353

· podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS z pohľadu kybernetickej bezpečnosti,

1354

1355

· podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,

1356

1357

· dbá na dodržiavanie integračných štandardov,

1358

1359

· vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,

1360

1361

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Bezpečnosť pri prevádzke informačných systémov a siet, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia

1362

1363

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1364

1365

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**Iná rola – analytik kybernetickej bezpečnosti**

1377

)))

1378

(% class="" %)|(((

1379

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu z pohľadu kybernetickej bezpečnosti,

1384

1385

· mapuje a analyzuje existujúce prostredie, analyzuje biznis požiadavky na informačný systém v oblasti kybernetickej bezpečnosti, špecifikuje požiadavky na informačnú podporu procesov v oblasti kybernetickej bezpečnosti, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní používateľom.

1386

1387

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia

1388

1389

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1390

1391

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov**

1401

)))

1402

(% class="" %)|(((

1403

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· navrhuje architektúru IT riešení z pohľadu možných bezpečnostných incidentov s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,

1408

1409

· pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu možných bezpečnostných incidentov,

1410

1411

· zodpovedá za technický návrh a realizáciu riešenia z pohľadu možných bezpečnostných incidentov,

1412

1413

· podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie,

1414

1415

· podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),

1416

1417

· podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,

1418

1419

· implementuje navrhnutú IT architektúru do IS,

1420

1421

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Riadenie prístupov, Bezpečnosť pri prevádzke informačných systémov a sietí, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia,

1422

1423

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1424

1425

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**Biznis analytik**

)))

(% class="" %)|(((

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za zber a analyzovanie biznis procesov, funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie,

1442

1443

· podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení,

1444

1445

· analyzuje požiadavky na informačný systém, popisuje a zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1446

1447

· Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1448

1449

· Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad

1450

1451

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte:

1452

1453

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1454

1455

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**UX dizajnér**

)))

(% class="" %)|(((

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za proces navrhovania „user experience“ pri produktoch súvisiacich s kybernetickou bezpečnosťou, ktoré by mali byť používateľsky prívetivé, ľahko použiteľné a užitočné,

1472

1473

· spolupracuje na návrhu a implementácii IS s IT dizajnérmi

1474

1475

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Akvizícia a údržba informačných technológií, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov

1476

1477

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1478

1479

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**Iná rola - špecialista kybernetickej bezpečnosti**

1489

)))

1490

(% class="" %)|(((

1491

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· vykonáva odborné činnosti v oblasti bezpečnosti služieb IKT. Navrhuje, implementuje, udržiava a prevádzkuje bezpečnostné mechanizmy a riešenia,

1496

1497

· navrhuje a prezentuje bezpečnostné stratégie, bezpečnostné politiky a bezpečnostnú architektúru,

1498

1499

· posudzuje právne a etické požiadavky na zaručenie bezpečnosti informačných aktív, navrhuje a vykonáva procesy riadenia rizík v informačnej a kybernetickej bezpečnosti,

1500

1501

· vykonáva a podporuje kontroly a posudzovanie bezpečnostných procesov, systémov a mechanizmov a ošetruje odchýlky od požadovaného stavu,

1502

1503

· stanovuje požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, databáz, systémov a sietí,

1504

1505

· vyhodnocuje efektívnosť bezpečnostných mechanizmov a riešení a uplatňuje ich v procesoch organizácie,

1506

1507

· spracováva príslušné interné predpisy a dohliada nad ich plnením

1508

1509

· posudzuje zraniteľnosti, hrozby a riziká existujúcich a nových komponentov architektúry IKT, vykonáva bezpečnostné testy,

1510

1511

· poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov v oblasti bezpečnosti informácií,

1512

1513

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Riadenie rizík, Personálna bezpečnosť, Fyzická bezpečnosť a bezpečnosť prostredia, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia, Kontinuita prevádzky, Audit a kontrolné činnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Organizačná bezpečnosť.

1514

1515

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1516

1517

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

Projektová rola

)))|(((

**Manažér kybernetickej bezpečnosti**

1527

)))

1528

(% class="" %)|(((

1529

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1534

1535

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti,

1536

1537

· podieľa sa na špecifikácii štandardov, princípov a stratégií a funkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,

1538

1539

· špecifikuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, kontroluje ich implementáciu v realizovanom projekte,

1540

1541

· špecifikuje funkčných a nefunkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,

1542

1543

· špecifikuje požiadavky na bezpečnosť v rámci bezpečnostnej vrstvy,

1544

1545

· špecifikuje požiadavky na školenia v oblasti kybernetickej a informačnej bezpečnosti,

1546

1547

· špecifikuje požiadavky na bezpečnostnú architektúru riešenia a technickú infraštruktúru v oblasti kybernetickej a informačnej bezpečnosti,

1548

1549

· špecifikuje požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS v oblasti kybernetickej a informačnej bezpečnosti,

1550

1551

· realizuje posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1552

1553

· definuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, bezpečnostný projekt a riadenie prístupu,

1554

1555

· definuje požiadavky na obsah dokumentácie v zmysle legislatívnych požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,

1556

1557

· špecifikuje akceptačné kritériá v oblasti kybernetickej a informačnej bezpečnosti,

1558

1559

· špecifikuje pravidiel pre publicitu a informovanosť v oblasti kybernetickej a informačnej bezpečnosti,

1560

1561

· získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1562

1563

· zabezpečuje konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dokumentácie v oblasti kybernetickej a informačnej bezpečnosti,

1564

1565

· zabezpečuje realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v projekte v oblasti kybernetickej a informačnej bezpečnosti,

1566

1567

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1568

1569

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

\\